O Container Registry foi descontinuado e está programado para ser desativado. A partir de 15 de maio de 2024, o Artifact Registry vai hospedar imagens para o domínio gcr.io em projetos sem uso anterior do Container Registry. O Container Registry será desativado em 18 de março de 2025.

Para começar a gerenciar contêineres no Google Cloud, use o Artifact Registry. Se você usa o Container Registry, saiba como fazer a transição para o Artifact Registry e gerenciar seus contêineres no Google Cloud.

Para mais informações sobre a descontinuação e o encerramento, consulte a página descontinuações e as notas da versão.

Esta página foi traduzida pela API Cloud Translation.

Como configurar notificações do Pub/Sub

Quando são feitas alterações no seu repositório do Container Registry, como quando as imagens são enviadas, marcadas ou excluídas, você pode receber notificações usando o Pub/Sub.

O Pub/Sub publica mensagens sobre o repositório para recursos nomeados, chamados de tópicos. Essas mensagens são recebidas por aplicativos inscritos nos tópicos do Pub/Sub. Os aplicativos inscritos enviam notificações quando o estado do repositório é alterado.

Além disso, você pode configurar papéis e permissões para os tópicos do Pub/Sub, a fim de controlar como os usuários interagem com o repositório.

Para ser compatível com a transição do Container Registry para o Artifact Registry, o Artifact Registry publica mensagens no mesmo tópico que o Container Registry.

Para informações sobre como configurar notificações do Artifact Analysis para como novos resultados de verificação de vulnerabilidades, consulte o Documentação do Artifact Analysis.

Criar um tópico do Pub/Sub

Quando você ativa a API Container Registry em um projeto do Google Cloud, O Container Registry cria automaticamente um com o ID gcr.

Se o tópico gcr estiver ausente ou tiver sido excluído acidentalmente, você poderá adicioná-lo você mesmo. Por exemplo, o tópico pode estar ausente se sua instância do Google Cloud organização tem uma restrição de política da organização que exige com chaves de criptografia gerenciadas pelo cliente (CMEK). Quando o A API Pub/Sub está na lista de bloqueio dessa restrição. serviços não podem criar tópicos automaticamente com chaves de criptografia gerenciadas pelo Google.

Para criar o tópico gcr com chaves de criptografia gerenciadas pelo Google:

Console

Acesse a página de tópicos do Pub/Sub no console do Google Cloud.

Acesse a página de tópicos do Cloud Pub/Sub
Clique em Criar tópico.
Digite o código do tópico gcr.
Clique em Criar tópico.

gcloud

Execute este comando:

gcloud pubsub topics create gcr --project=PROJECT-ID

Substitua PROJECT-ID pelo ID do projeto do Google Cloud. Se você omitir a sinalização --project, o comando usa o projeto atual.

Para saber mais sobre o comando gcloud pubsub topics, consulte a documentação de topics.

Para criar o tópico gcr com criptografia CMEK, consulte o tópico do Pub/Sub instruções para criptografar temas.

Depois de criar o tópico gcr ou verificar que ele existe, será possível criar uma assinatura para o tópico.

Criar uma assinatura no Pub/Sub

Todos os tópicos de Pub/Sub devem ter uma assinatura.

O aplicativo inscrito recebe as mensagens do tópico do repositório. Os assinantes realizam tarefas, como notificações de eventos, login no sistema e comunicação entre aplicativos.

É possível configurar as assinaturas para usar um modelo de envio ou de extração.

Para criar uma assinatura:

Console

Acesse a página de tópicos do Pub/Sub no console do Google Cloud.

Acesse a página de tópicos do Cloud Pub/Sub
Clique no tópico do projeto.
Clique em Criar assinatura.
Insira o nome da assinatura:
```
projects/[PROJECT-ID]/subscriptions/[SUBSCRIPTION-NAME]
```
Deixe "Tipo de entrega" configurado como "Pull".
Clique em Criar.

gcloud

No sistema em que as imagens do Docker são enviadas ou marcadas com tag, execute este comando:

gcloud pubsub subscriptions create [SUBSCRIPTION-NAME] --topic=gcr

Para saber mais sobre o comando gcloud pubsub subscriptions, consulte a documentação de subscriptions.

Configurar permissões do Pub/Sub

use o controle de acesso do Pub/Sub; para configurar permissões para seu projeto e recursos. Os controles de acesso mantêm o repositório seguro e permitem gerenciar as permissões de usuário usando acesso baseado em papéis.

É possível configurar os controles de acesso do Pub/Sub Página do IAM do console do Google Cloud ou pela API IAM.

Para configurar permissões para publicação, use qualquer um dos seguintes papéis: proprietário, editor, pubsub.admin, pubsub.editor, pubsub.publisher. Os principais que enviam ou excluem imagens do registro precisam ter a permissão pubsub.topics.publish para publicar uma mensagem Pub/Sub
Para configurar as permissões de assinatura, use uma das seguintes opções Papéis: proprietário, editor, pubsub.admin, pubsub.editor, pubsub.subscriber.

Exemplos de notificação

As notificações são enviadas como strings em formato JSON. Abaixo estão alguns exemplos de notificações do Container Registry que você pode receber do Pub/Sub.

Quando uma imagem é enviada para o Container Registry, o payload da notificação pode ter o seguinte aspecto:

{
  "action":"INSERT",
  "digest":"gcr.io/my-project/hello-world@sha256:6ec128e26cd5..."
}

Quando uma tag nova é enviado para o Container Registry, o payload da notificação pode ter o seguinte aspecto:

{
  "action":"INSERT",
  "digest":"gcr.io/my-project/hello-world@sha256:6ec128e26cd5...",
  "tag":"gcr.io/my-project/hello-world:1.1"
}

A mensagem identifica a imagem relevante usando uma tecla digest ou tag.

Quando um marcador é excluído do Container Registry, o conteúdo da notificação pode ter o seguinte aspecto:

{
  "action":"DELETE",
  "tag":"gcr.io/my-project/hello-world:1.1"
}

A mensagem pode conter DELETE ou INSERT como valores para a tecla action.

A seguir

Leia a documentação do Pub/Sub.
Para ver uma explicação detalhada do Pub/Sub, consulte O que é o Pub/Sub?
Saiba mais sobre os papéis de controle de acesso do Pub/Sub.